天津鸿萌科贸发展有限公司是 OSForensics 数据调查取证软件的授权代理商。
OSForensics 数据调查取证软件协助用户通过高性能文件搜索和索引快速从计算机中提取数据调查证据;通过哈希匹配、驱动器签名比较、电子邮件、内存和二进制数据识别可疑文件和活动;管理您的数字调查并根据收集的取证数据创建报告。
文章内容:
一、全面的取证调查工具
二、识别可疑文件和活动
三、管理您的数字调查
1 更快地查找文件
OSForensics™ 提供了一种在 Windows 计算机上查找文件的最快、最有效的方法。您可以按文件名、大小、创建和修改日期以及其他条件进行搜索。结果将返回并显示在几个不同的有用视图中。其中包括时间线视图及缩略图视图。
OSForensics 文件搜索比 Windows 内置的搜索快很多倍。与经常遗漏文件的 Windows 不同,您可以确信 OSForensics 会找到磁盘上的每个文件。
2 广泛的文件类型支持
基于广受好评的 Zoom 搜索引擎支持,OSForensics 具有强大的预索引搜索功能,可提供数百种文件格式的全文搜索,可提供:
支持文件格式: OSForensics 可以索引各种文件格式的内容。其中包括:DOC、DOCX、PDF、PPT、XLS、RTF、WPD、SWF、DJVU、JPG、GIF、PNG、TIFF、MP3、DWF、DOCX、PPTX、XLSX、MHT、ZIP、PST、MBOX、MSG、DBX、ZIP、ZIPX、RAR、ISO、TAR、7z 等。还支持递归容器。因此,可以正确地索引 PST 文件中的电子邮件附件 DOCX 文件,而 PST 文件又被压缩为 ZIPX 文件。甚至支持二进制文件和未分配的簇。
3 恢复已删除的证据
OSForensics™ 允许您恢复和搜索已删除的文件,即使这些文件已从回收站中删除。有助于查看用户可能试图销毁的文件。
对于找到的每个已删除文件,都会显示相应的质量指标,范围为 0-100。值接近 100 表示已删除文件基本完好,只有少数数据簇缺失。
4 发现用户活动
OSForensics™ 会扫描您的系统以查找近期活动的证据,例如访问过的网站、连接的 USB 设备、无线网络、近期下载、网站登录名和网站密码。这对于识别用户的趋势和模式以及最近访问过的任何材料或帐户特别有用。
5 密码恢复和解密
使用 OSForensics,可以发现和破解实时系统或取证镜像中的密码:
6 显示隐藏磁盘区域 - HPA/DCO
OSForensics ™ 可以发现并揭露硬盘的 HPA 和 DCO 隐藏区域,这些区域可用于恶意目的,包括隐藏非法数据。主机保护区 (HPA) 和设备配置覆盖 (DCO) 是用于隐藏硬盘扇区以防止最终用户访问的功能。
7 访问卷影副本
OSForensics ™ 支持访问卷影副本。卷影副本提供了过去某个时间点的卷的内容。这样可以发现文件的更改,甚至查看可能已删除的文件。
1 验证并匹配文件
使用 OSForensics 通过比较哈希值来确认文件未被破坏或篡改,或确定未知文件是否属于已知文件集。使用 MD5、SHA-1和 SHA-256 哈希验证和匹配文件。查找内容与扩展名不匹配的错误命名文件。
2 识别变化
创建和比较驱动器签名以识别系统上的差异和更改。OSForensics 允许您创建硬盘驱动器的取证签名,保存签名创建时系统中存在的文件和目录结构的信息。
3 时间线查看器
OSForensics 具有时间线查看器,可以直观地显示文件和系统随时间变化的活动,帮助您确定发生重大活动的日期范围,或建立数年、数月或数天内的行为模式。
4 文件分析工具
OSForensics 提供了一套全面的工具来分析文件、电子邮件和系统信息,包括:
1 创建案例
将您发现的所有证据整理到一个加密安全的案件档案中,
2 生成报告
将您的案件文件导出为一份可访问且可自定义的报告,其中显示与案件相关的所有证据。在调查的任何阶段向客户或执法人员提供可读的法医调查结果摘要。
3 存储设备管理
以集中方式管理您的存储设备,以便在整个 OSForensics 中方便访问。
4 驱动器和系统镜像
创建和恢复证据磁盘的磁盘镜像,以支持取证分析,而不会危及原始数据的完整性。
从一组 RAID 成员磁盘镜像重建完整的 RAID 镜像。
对活动系统的分区或驱动器进行精确复制。在从 USB 驱动器运行 OSForensics 时,这对于实时采集非常有用。
5 审计追踪
OSForensics 可以自动维护调查过程中所进行的具体活动的安全审计跟踪。
6 随身携带 OSForensics
OSForensics 可以通过便携式 USB 驱动器安装和运行。直接在目标计算机上进行调查,而不会冒着有价值的取证信息被污染的风险。